Сконфигурировать встроенный DHCP

Нижегородский Государственный Технический Университет
Практическая работа №1
по дисциплине: «Программное обеспечение вычислительных сетей»
Тема: «Интернет-шлюз Ideco ICS»
Выполнил студент группы 10-В-1
Сидоренко О.О.
Проверил:
Кочешков А.А.
г. Нижний Новгород
2014г.
1. Ознакомиться с функциональным назначением, версиями и
условиями поставки программной системы Интернет-шлюза Ideco
ISC
Ideco ICS ( Internet Control Server, сервер управления доступом в Интернет) — программный
Интернет-шлюз на ядре Linux, используемый для контроля и распределения доступа в Интернет
в корпоративных и частных сетях.
Ideco ICS является комплексным Интернет-шлюзом и содержит встроенные модули:
 файрволл
 почтовый сервер
 антивирус
 антиспам
 предотвращение утечек
Служит для распределения, учёта и контроля доступа в Интернет на предприятиях, в частных и
провайдерских сетях. Управление интернет-шлюзом осуществляется через графический вебинтерфейс из-под любой распространенной операционной системы (Windows, Linux, Mac OS).
Может поставляться с коммерческими антивирусными продуктами, например, с антивирусом
Касперского или Dr. Web. В домашних сетях может использоваться бесплатно.
Для малых компаний с количеством пользователей до 5 можно использовать бесплатную
коммерческую лицензию.
Ideco ICS выпускается в четырех версиях:
 в виде софта,

аппаратного решения,
 в виде сертифицированного ФСТЭК России дистрибутива для корпоративного
использования
 в виде софта для бесплатного использования в домашних сетях и для целей обучения.
Основные функциональные возможности
Контроль доступа:
 Персональный полноценный доступ в Интернет для каждого сотрудника. Авторизация
по логину и паролю через VPN, PPPоE или через Ideco Agent, авторизация по IP адресу и
по MAC адресу.
 Возможность синхронизации и авторизации пользователей через Active Directory и
LDAP сервер.
 Фильтрация веб-контента по категориям непродуктивных сайтов
 Контроль доступа к ресурсам Интернет, вся информация о действиях пользователя
сохраняется.
 Контроль доступа сетевых приложений на пользовательских компьютерах к сетевым
ресурсам.
Защита и безопасность, межсетевой экран(Firewall):
 Защита компьютеров от атак из Интернет с использованием технологии NAT и
встроенного Firewall.
 Блокирование ip адресов и протоколов по заданным условиям.
 Защита от сканеров сети, защита от DOS-атак и блокирование чрезмерной активности.
 IDS/IPS Snort анализирует сетевой трафик. При появлении потенциальных угроз,
предотвращает и уведомляет Администратора.
 Контроль утечек информации для служебного пользования.
 Многоуровневая фильтрация нежелательной почты (спама).
 Блокирование рекламы. Запрет Интернет-пейджеров.
2
Разграничение доступа к корпоративным ресурсам, создание общих и закрытых серверов
сети.
 Защита от подстановки IP адреса, при авторизации через VPN и PPPoE каждому
пользователю назначается личный IP-адрес.
 Шейпер. Ограничение скорости Интернет-трафика для отдельных пользователей,
компьютеров или протоколов.
 Фильтрация межсегментного локального трафика.
Ограничение трафика:
 Планирование и ограничение расходов (лимитирование) по пользователям, отделам и
предприятию в целом.
 Подсчет статистики в реальном времени, автоматическое предупреждение и отключение
пользователя при превышении лимита.
 Статистика посещения ресурсов Интернет в Мб и денежном эквиваленте, статистика
TOP 100.
 При авторизации через VPN и PPPoE – защита от прослушивания трафика и подстановки
IP-адреса.
 Удобные отчёты для директора.
Удаленное подключение, виртуальные частные сети.
 Доступ сотрудников к сети предприятия из дома или командировки по защищенному
каналу.
 Возможность объединить все удаленные подразделения в общую сеть на единой
платформе по шифрованным протоколам VPN PPTP, OpenVPN.
 Возможность создать закрытые корпоративные серверы для ограниченного круга
сотрудников.
Интеллектуальный QoS
Интеллектуальная приоритезация трафика по скорости и типу, резервирование полосы
пропускания для важных приложений, возможность расставлять приоритеты вручную.
Равномерное распределение канала между пользователями и между приложениями.
DHCP-сервер
Автоматическое распределение IP адресов в локальной сети. Возможность фиксированной
привязки IP к MAC адресу компьютера. Возможность выдавать DNS и WINS для DHCP
клиентов.
Встроенный WINS сервис делает удобной и быстрой работу с сетевым окружением в
локальной сети. Возможность выдавать маршруты для DHCP клиентов. Возможность указания
разных диапазонов на разных интерфейсах и VLAN.
Полноценный маршрутизатор
Поддерживает множество интерфейсов (как локальных, так и внешних). Поддерживаются
виртуальные 802.1q VLAN интерфейсы, PPTP, L2TP, PPPoE и OpenVPN
интерфейсы. Возможность указать маршруты по источнику.
Подключение к провайдерам, резервирование каналов
 Поддержка нескольких каналов провайдеров и нескольких внешних сетей.
 Создание разных тарифных планов. Перенаправление трафика в разные подсети.
 Возможность полного разделения пользователей для выхода в Интернет через разных
провайдеров.
 Автоматическая проверка связи с провайдером и переключение на альтернативного
провайдера, в случае необходимости. Возможность указать резервный тарифный план.
 Подключение к провайдеру по протоколам PPTP ( VPN ), L2TP и PPPoE.
 Возможность балансировки трафика между каналами.

3
2. Установить Ideco ISC в виртуальную машину или использовать
готовый образ от фирмы Ideco. Настроить сетевые интерфейсы
шлюза для начального конфигурирования.
Создадим виртуальную машину со следующими параметрами:



Объём ОЗУ: 2100 Мб
Размер жёсткого диска: 12 Гб
Сетевой адаптер: VMnet8
Начнем установку дистрибутива.
1. Система позволяет протестировать ОЗУ перед установкой (memtest) либо не делать
этого и сразу начать установку (setup). Выберем второй вариант.
2. Система предложит установить в BIOS дату и время, а затем покажет лицензионное
соглашение.
Рис.1.Действия до установки
3. После прочтения система предложит установить или обновить Ideco ICS
Рис.2.Выбор действия
Необходимо выбрать пункт с установкой.
4. После предупреждение об уничтожении всех данных с диска начнется форматирование
разделов и копирование файлов на диск.
Рис.3.Копирование файлов на диск
5. Установка завершится уведомление с указанием логина и пароля, которые позволят
войти в систему
4
Рис.4.Уведомление об успешной установке
6. После перезагрузки Загрузчик GRUB предложит выбрать зайти в систему ICServer или
загрузить бэкап(safe). Необходимо загрузить систему ICServer, где и продолжится
установка.
7. Обнаружив лишь один адаптер Ethernet, программа скажет об этом и объявит, что для
корректной работы требуется минимум два. Однако, при нажатии единственной кнопки
подтверждения уведомления всё равно начнется запуск и настройка необходимых
служб. Но при этом не будет автоматически настроена сеть.
В целях безопасности рекомендуется, чтобы хост с VMware имел 2 сетевых
интерфейса: один подключен в сеть провайдера, а другой — в локальную сеть.
8. По завершению этого процесса предложат вручную настроить Ethernet интерфейс:
установим IP-адрес 192.168.0.1/24 и выберем сетевую карту.
Рис.5.Параметры интерфейса
9. После подтверждения параметров сервер перезагрузится
10. После перезагрузки система начнет проводить монтирование и проверку файловой
системы, а также проверку необходимых компонентов. После окончания появится
приглашение ввести пароль(servicemode), чтобы зайти в систему.
11. Затем система выдаст список возможных операций:
 Мониторинг сервера
 Мониторинг сети
 Конфигурирование сети
 FTP-сервер
 Резервное копирование
 Сервис
 Смена пароля
 Перезагрузка сервера
 О программе
 Выход
5
Рис.6.Список возможных операций
Теперь необходимо устранить проблему с сетевыми адаптерами.
1. Для этого выключим машину и добавим еще один сетевой адаптер(VMnet1).
2. Включим сервер снова, теперь предупреждений о некорректности работы нет,
загрузка сервера прошла успешно.
Если есть необходимость, то можно сконфигурировать сервер не прибегая к web-интерфейсу.
Для этого в списке возможных операций следует выбрать соответствующий пункт
меню(Конфигурирование сети…).
Система предложит большой набор параметров, но в основном необходима «Расширенная
настройка…»
Рис.7.Конфигурирование сети
«Расширенная настройка…» позволит настроить привязанные интерфейсы – каждому из них
задать имя, настроить соответствие с «сетевой картой» и многое другое.
Для дальнейших действий удостоверимся, что для адаптера VMnet8 с MAC-адресом
00:50:56:3B:C7:E0(его можно сгенерировать в настройках виртуальной машины) указан IPадрес 192.168.0.1/24
Рис.8.Параметры Ethernet интерфейса
6
3. Выполнить базовую настройку сервера, настройку сетевого
подключения к провайдеру Интернет, настройку подключения
администратора.
Чтобы обеспечить возможность конфигурирование Ideco ICS с помощью web-интерфейса
настроим стек TCP/IP на домашней ОС для адаптера VMnet8.
Зададим IP-адрес: 192.168.0.2 и маску подсети:255.255.255.0 .
Рис.9.Настройка домашней ОС
Попробуем зайти в web-интерфейс шлюза.
1. Введем в адресной строке браузера http://192.168.0.1
2. Если все сделано верно, то отобразится страница приглашения входа в систему Ideco.
Используем данные учетной записи администратора: Administrator/servicemode
Рис.10.Вход в панель управления
После входа Мастер настройки сервера предложит настроить сервер в несколько шагов.
Шаг 1: Базовая настройка.
Позволяет указать
 Временную зону(Europe/Moskow – по умолчанию)
 Имя сервера. Доменное имя сервера, если нет зарегестрированнного то позволительно
указать любое. По умолчанию vpn.mydomain.ru.
 IP-адрес/маска локального интерфейса
 MAC-адрес локального интерфейса
Аналогичные настройки можно увидеть и в меню самого сервера.
Рис.11.Базовая настройка
7
Шаг 2: настройка подключения к сети Интернет.
На этом этапе настраивается подключение к сети Интернет. Для этого в общем случае
необходимы реквизиты подключения, которые, как правило, указаны в договоре с Интернетпровайдером.
В зависимости от типа подключения предлагаются несколько разные параметры конфигурации.
Типы подключения:
 Прямое Ethernet-подключение
 Подключение по протоколу PPPoE
 Подключение по технологии VPN (PPTP)
 Подключение по протоколу L2TP
Выберем Прямое Ethernet-подключение.
Теперь важно выбрать правильный внешний интерфейс(VMnet1 с MAC-адресом
00:50:56:31:17:D6).
Затем предлагается либо задать вручную IP-адрес, шлюз и DNS, либо получить их через DHCP
провайдера. Оставим их как они были установлены первоначально.
Рис.12. настройка подключения к сети Интернет
Шаг 3: учётная запись администратора.
Позволяет определить ключевые параметры учётной записи администратора.
Возможно указать следующее:
 E-mail Администратора. Адрес эл.почты для отправки системных уведомлений
 IP-адрес компьютера администратора. По умолчанию административный веб-интерфейс
доступен с любого IP-адреса. Если требуется, чтобы он был доступен только с
компьютера администратора – надо указать его IP-адрес
 Пароль Администратора. Настоятельно рекомендуем установить пароль. Использовать
пароль по умолчанию небезопасно.
Зададим параметры:
 E-mail Администратора:
 IP-адрес компьютера администратора.: 192.168.0.2
 Пароль Администратора оставим без изменений
Рис.13. Учётная запись администратора
8
4. Изучить функции сетевой безопасности шлюза. Настроить
доступные средства безопасности.
Шаг 4 Мастера настройки - настройки безопасности. Здесь можно определить ключевые
настройки системы безопасности, а также системы автоматического обновления.
Возможно включить следующие опции:
 Включить антивирус Касперского для проверки веб-трафика в демонстрационном
режиме. Активирует 30-и дневный демонстрационный режим антивируса Касперского
для проверки всего веб-трафика
 Включить антивирус Касперского для проверки почтового трафика в демонстрационном
режиме.
 Включить спам-фильтр DSPAM. Включает спам-фильтр DSPAM для почтового сервера.
DSPAM - свободное программное обеспечение, статистический масштабируемый спам
фильтр на основе содержания.
 Разрешить VPN-подключения из Интернет. Разрешает VPN-подключения к сети
удаленно.
 Блокировать сканеры портов. Блокирует действия злоумышленников, ведущих поиск
уязвимостей в сети. Если будет проводиться сканирование портов локальной сети или
сервера, то IP-адрес сканирующего компьютера будет отключен на несколько минут.
Это позволяет блокировать поиск уязвимостей в локальной сети. Если пользователи
вашей локальной сети активно используют p2p-программы (torrents), то опцию
"Блокировать сканеры портов" рекомендуется выключить.
 Ограничить количество TCP и UDP-сессий с одного IP-адреса. Рекомендуется для
ограничения вирусных эпидемий и Интернет-атак. Большое количество соединений
означает, что компьютер заражен вирусами или adware программами. Включение этой
опции остановит большой трафик, вызванный вирусной эпидемией. Данная опция также
ограничивает использование сетей peer-to-peer, так как поведение клиентов этих сетей не
отличается от вирусных эпидемий. Кроме того, эта опция позволяет защитить
компьютеры пользователей и сервер от отказа в обслуживании
Возможно также указать максимальное количество сессий из сети Интернет или из локальной
сети произведенных с одного IP-адреса.
Еще можно задать две опции, связанные с обновлением:


Включить автоматическое обновление - новые версии Ideco ICS будут автоматически
скачиваться с сервера и применяться к текущей версии, установленной на сервере.
Проверять наличие обновлений для используемых модулей - главный администратор
будет уведомлен о наличии обновлений на указанный E-mail.
Рис.14. Настройка безопасности
9
5. Сконфигурировать встроенный DHCP-сервер.
Шаг 6: дополнительные настройки дает возможность запустить мастер настройки DHCPсервера, почтового сервера и proxy-сервера
Рис.15. Дополнительные настройки
1. Запустим Мастер настройки DHCP сервера.
2. В открывшемся окне предложат включить DHCP-сервер, поставив галочку в
соответствующее поле.
3. Следующим шагом будет настройка пула адресов. Зададим диапазон: 192.168.0.5192.168.0.10 и нажмем кнопку Добавить
Рис.16. Выбор диапазонов IPадресов
Диапазон был добавлен в список и есть возможность ввести еще один диапазон адресов.
Нажатие кнопки Далее выдаст информацию о том, что работа мастера была завершена и DHCPсервер был настроен.
10
6. Включить прокси-сервер и изучить его настройки.
Прокси-сервер это специальная служба, предназначенная для кэширования внешних запросов в
Интернет. Если часто происходят обращения к одним и тем же внешним ресурсам, то можно
держать их копию на прокси-сервере и выдавать по запросу, снижая тем самым нагрузку на
канал во внешнюю сеть и ускоряя получение клиентом запрошенной информации.
Запустим Мастер настройки proxy-сервера.
1. На первом шаге Мастер потребует включить встроенный прокси-сервер и предупредит,
что для начала работы прокси-сервера потребуется перезагрузка сервера.
2. Второй шаг дает возможность включить скрытие прокси-сервера. Этот режим позволяет
не показывать страницы ошибок прокси-сервера и убирать HTTP-заголовки,
формируемые прокси-сервером.
Рис.17. Дополнительные опции
3. Третий шаг позволяет включить антивирусную защиту и выбрать между двумя
решениями – Антивирус Касперского или Антивирус ClamAV. Основное различие
состоит в том, что модули Антивируса Касперского имеют период пробного
использования 30 дней. Для продолжения их использования после окончания этого
срока необходимо приобрести дополнительную лицензию на их использование.
Выберем ClamAV
Рис.18. Антивирусная защита
4. На четвертом шаге настройки предлагается указать, будет ли использоваться внешний
прокси-сервер вместе со встроенным, а также его IP-адрес, порт, логин и пароль. Не
будем использовать внешний прокси и оставим поля незаполненными.
Рис.19. Внешний прокси-сервер
5. Последний шаг известит об успешной настройке прокси-сервера и приведет выбранные
опции.
11
Рис.20. Завершение настройки
Следующий шаг настройки сервера - Шаг 7: применение настроек. Он отобразит все
настроенные параметры и предложит нажать «Применить» для сохранения настроек.
Рис.21. Применение настроек
После нажатие Web-интерфейс выдаст уведомление о том, что сервис будет перезагружен.
Рис.22. Уведомление о сохранении настроек
12
7. С помощью Web-интерфейса подключиться к серверу от имени
учетной записи администратора. Создать пулы адресов клиентов.
Рассмотреть свойства профилей.
После настройки зайдем в web-интефейс от имени уч.записи администратора. В заголовке
показанной страницы отобразятся разделы, содержащие разнгого рода настройки.
Рис.23. Разделы настроек
Можно выбрать следующие разделы:
 Пользователи
 Монитор
 Безопасность
 Сервер
 Профили
 Отчеты
Необходимая настройка(Создать пулы адресов клиентов) находится в разделе Профиль, куда и
нужно перейти. Раздел содержит три категории: Профили выхода в Интернет, Редактор правил
и сетей и Пулы IP адресов. Необходимо перейти в последнюю категорию.
Пул IP-адресов – это диапазон IP-адресов, из которого назначаются IP-адреса пользователям
при создании пользователей. Пул IP адресов используется для удобства управления IPадресами, назначаемым пользователям, и являются не обязательными для работы сети.
Необходимость в их настройке, как правило, вызвана обилием используемых профилей,
сложными конфигурациями сетей на предприятии или наличием нескольких подключений к
провайдеру. Пулы IP-адресов позволяют сгруппировать пользователей по признаку
принадлежности к разным подсетям, а уже этим подсетям должен быть разграничен доступ
средствами брандмауэра или назначены определенные маршруты в другие подсети.
Использование определенных пулов IP-адресов определяется у конечных пользователей или у
группы.
Рис.24. Список пулов адресов
По умолчанию используются следующие пулы IP адресов:
 Простой пул (10.128.0.1 – 10.200.0.0)
 Пул с Firewall (10.200.1.0 – 10.20.1.255)
 Реальные адреса для серверов (192.168.1.1 – 192.168.1.255)
 Пул для авторизации по IP (10.0.0.10 – 10.0.0.20)
Создадим новый пул адресов клиентов (myPool) с диапазоном 192.168.0.5-192.168.0.10.
1. Для этого необходимо нажать на соответствующую кнопку внизу списка.
2. Откроется окно для редактирования пула, где можно задать имя и диапазон.
13
Рис.25. Настройка пула
Рассмотрим параметры:
 Наименование - может отражать территориальное или логическое предназначение пула.
 Диапазон - первый и последний адрес в пуле, маска будет вычеслена сервером
автоматически.
 Зарезервировать (раздавать вручную). Если признак установлен, то этот пул будет
"зарезервирован", то есть IP-адреса из этого IP-диапазона не будут раздаваться
автоматически, даже если они входят в какой-нибудь другой пул. Рекомендуется для
пулов реальных IP-адресов.
 Включен - если признак не установлен, то пользователи, у которых установлен данный
пул, не смогут выйти в Интернет.
При раздаче адресов по DHCP (и методе авторизации по IP) DHCP-сервер не смотрит на то,
какой пул указан в свойствах пользователя и вообще работа DHCP-сервера не связана с работой
базы данных пользователей. Однако, задав диапазон раздачи IP-адресов или закрепив
определенные IP-адреса за конкретными пользователями в настройках DHCP-сервера, все равно
можно использовать пулы IP-адресов для разграничения доступа и направления трафика для
этих пользователей. Для этого раздаваемые DHCP-сервером IP-адреса должны относиться к
определенному пулу IP-адресов созданному в этой оснастке.
Рассмотрим другие свойства в категории профили.
В Ideco ICS профиль состоит из списка правил с указанием стоимости входящего и исходящего
трафика для этого правила. Правило – это список сетей с указанием политики. Одно и то же
правило может входить в несколько профилей. В одно правило, обычно, объединятся сети,
стоимость трафика по которым одинакова. Например, правило "Внутригород" должно
содержать список сетей с одной стоимостью, а правило "Локальная сеть" – список сетей
предприятия, по которым не должна вестись тарификация (нулевая стоимость).
Таким образом, при создании профилей нужно сначала создать правила, а потом создавать
профили, включая в них правила, и указывая стоимость трафика для этих правил.
Создадим новое правило.
1. Перейдем в категорию «Редактор правил и сетей» и нажмем кнопку «Создать правило».
2. Открывшееся окно позволит задать имя, комментарий и веб-адрес загрузки.
3. Зададим Название myRule и напишем комментарий.
Рис.26. Создание правила
14
4. После создания в таблице появится новое правило.
5. Если кликнуть по названию правила, то откроется список подсетей.
Рис.27. Список правил с открывшимся списком подсетей
6. Создадим подсеть, нажав одноименную кнопку.
В появившемся окне можно указать:
 Название
 IP-адрес - начальный адрес сети или адрес хоста.
 Маска сети. Если нужно указать конкретный хост, то маска задается для одного
компьютера.
 Доступ запрещен - при включении параметра правило действует как запрещающее для
обозначенной подсети/хоста, если параметр не отмечет, то правило действует как
разрешающее.
Укажем следующие параметры:
 Название: mySubnet
 IP-адрес: 87.240.131.0
 Маска сети: 255.255.255.0
 Доступ запрещен - включено
Рис.28. Создание подсети
В списке теперь есть добавленная подсеть. Её можно удалить, редактировать, отключить и
перемещать вниз/вверх по списку подсетей.
Рис.29. Созданная подсеть
После создания правила можно приступить к созданию нового профиля.
1. Перейдём в раздел «Профили выхода в Интернет», где в таблице есть два примера
профилей.
2. Создадим новый профиль, нажав соответствующую кнопку.
3. Открывшееся окно предложит заполнить ряд параметров. Рассмотрим их.
 Название. Определяет название профиля - myProfile
 Интерфейс. Предполагается указать внешний интерфейс.
15





Резервный профиль. Укажем Основной профиль, как резервный
Описание.
Абонентская плата. Сумма средств, которая будет сниматься с баланса пользователя в
начале каждого нового отчетного периода. Для примера укажем 20 единиц. Также
Абонентская плата имеет три опции:
o Списывать только если не превышен лимит. Лимит задается у пользователя или у
группы. Денежные средства будут сниматься со счета до тех пор, пока не будет
достигнут обозначенный у пользователя лимит.
o Списывать только если был трафик. Включает поведение для профилей с
абонентской платой, при котором денежные средства за период не будут
списываться, если за все время периода от абонента не было трафика
o Списывать ежедневно. Вне зависимости от отчетного периода денежные средства
будут списываться ежедневно. Выберем эту опцию.
Начальный NAT адрес. При необходимости позволяет указать начальный NAT адрес
Конечный NAT адрес
Рис.29. Создание профиля
4. Сохраним профиль, он появится в таблице.
5. Кликнув по имени профиля откроется таблица с добавленными к нему правилами и
кнопкой «Добавить правило». Нажмем эту кнопку.
6. Откроется окно, позволяющее определить несколько параметров. Рассмотрим и зададим
некоторые из них.
 Правило. Выберем из списка созданное правило myRule
 Стоимость Вх. Стоимость входящего трафика за 1 Мб данных
 Стоимость Исх. Стоимость исходящего трафика за 1 Мб данных
 Блокировка при превышении лимита. Если опция включена, то список ресурсов по
этому правилу будет недоступен
 Скачано более
 Скачано менее
 Отправлено более
 Отправлено менее
 Время действия, от
 Время действия, до
 Скорость Вх
 Скорость Исх
 Тарифицировать только переваливающий трафик
16
Рис.30. Добавления правила
В списке теперь есть добавленное правило. Его можно удалить, редактировать, отключить и
перемещать вниз/вверх по списку правил, как и подсети в своем списке.
Рис.31. Список правил для профиля
Правила в профиле обрабатываются последовательно сверху вниз, поэтому, если поместить
правило «Внешний трафик» на первую строчку, то остальные просто не будут обрабатываться,
и соответственно весь трафик будет тарифицироваться как внешний.
17
8. Создать новую группу пользователей, настроить профиль по
трафику, тарифу, фильтрации доступа к ресурсам.
Перейдем в раздел Пользователи.
Пользователи в веб-интерфейсе отображаются в виде дерева состоящего из групп
пользователей и самих пользователей. Уровень вложенности групп не ограничен. Это дерево
отображается слева на странице. Древовидная структура позволяет облегчить управление
большим количеством пользователей, назначая администраторов для отдельных групп. Такие
администраторы групп могут создавать внутри своих групп других пользователей, группы и
администраторов для нижележащих групп.
Рис.32. Раздел Пользователи
Раздел также имеет 6 категорий, разделяющие параметры. Некоторые параметры отличаются
при выборе пользователя или группы пользователей. Рассмотрим параметры группы:
 Общие:
o Группа. Имя группы
o В группе. Родительская группа
o Пользователи. Позволяет распечатать список пользователей, входящих в эту
группу.
o Запретить вход. Запрещает VPN_подключения и выход в Интернет
o Авторизация. Задать тип авторизации
o Профиль. Задает используемый профиль
o Активировать NAT
o NAT. IP-адрес NAT
o Пул
o Разрешить VPN подключения
o Разрешить переподключение
o Включить контроль утечек информации
o Синхронизация c LDAP/AD
 Почта:
o Почтовый ящик пользователя
o Email для уведомлений
o Разрешить почту пользователям
o Переадресовать почту
o Доступ к почте из Интернета
o Автоответчик для почты
18




o Тема автоответа
o Текст автоответа
Ограничения. Задает следующие ограничивающие правила:
o Ограничения из пользовательского Firewallа
o Ограничения брандмауэра приложений
o Ограничения по времени подключения
o Ограничение возможности авторизации и подключения с адресов
Контент-фильтр
o Политика. Разрешить или запретить
o Категории. Выбор из предустановленных категорий тем
Статистика. позволяет собрать статистику за заданный период, сгруппировав результат
для удобства восприятия
o Дата от
o Дата до
o Группировка
Финансы
o Период
o Выделить на период
o Предупреждать при остатке
o Просмотр ограничений родителя
o Администратор финансовый
o Порог отключения
o Абонентская плата
o Обнуление баланса, дата
o Отключить по дате
1. Добавим группу myGroup в список групп и укажем группу Все как родительскую.
2. Открывшееся окно потребует ввести имя и после подтверждения группа появится в
списке.
Рис.33. Создание группы
3. Создадим в этой группе пользователя, нажав на соответствующую иконку. Зададим
следующие данные для пользователя:
 Имя пользователя – НовыйПользователь
 Логин – myUser
 Пароль – myuser
4. После подтверждения внесенных данных пользователь появится в списке.
Рис.34. Создание пользователя
19
Теперь настроим профиль по трафику, тарифу и фильтрации доступа к ресурсам.
Мы создавали профиль myProfile и правила в нем, предполагается, что он будет использоваться
как профиль новой созданной группы.
1. Добавим правила в нем так, чтобы пользователь смог скачать10Мб данных на скорости
20Мбит/с, а при скачивании больше этого порога скорость падала до 256кбит/с.
2. Добавим два правила на Внешний трафик.
В одном укажем:
 Стоимость Вх. 1
 Стоимость Исх. 0
 Скачано менее 1 Мб
 Скорость Вх 20000 Кбит/с
Другое правило будет содержать:
 Стоимость Вх. 3
 Стоимость Исх. 1
 Скачано более 1 Мб
 Скорость Вх 256 Кбит/с
3. Таким образом в профиле уже 3 правила.
Рис.35. Список правил профиля
4. Укажем этот профиль в свойствах созданной группы.
5. Перейдем в категорию Ограничения созданной группы в откроем раздел Ограничения
пользовательского фаервола. Правила в нем позволяют следующее:
 Запрет ICQ
 Запрет исх. почты(smtp)
 Запрет вх. почты(pop3,imap)
 Ограничить скорость скачивания.Ограничить скорость для скачивания больших файлов
 Запретить все, кроме веб
 Запретить все, кроме icq
 Запрет IM. Запрет мессенджеров: ICQ, AOL Instant Messenger, MSN Messenger, Yahoo
Messenger, Rambler ICQ, Mail.ru Agent, Jabber, IRC, Google Talk.
 Социальные сайты. Блоги, социальные сети, службы знакомств.
 Запрет игр. Запрет сайтов содержащих игровую тематику и популярных сетевых игр.
 Запрет файлообмена.Запрет обмена музыкальными, видео файлами, архивами. Запрет
протоколов Р2Р.
6. Для проведения эксперимента запретим социальные сайты.
Система предоставляет возможность пользования контент фильтром, содержащим 160 разных
правил, ограничивающих сайты с контентом: от «Наркотики» до «Литература и книги». Чтобы
воспользоваться контент-фильтром его предварительно надо включить в разделе Сервер.
20
Рис.36. Контент-фильтр
21
9. Наблюдать информацию и статистику работы конкретного
пользователя.
Проверим работу сервера, подключившись с другой машины в сети 192.168.0.0 и установив в
настройках TCP/IP шлюз 192.168.0.1.
Т.к. авторизация выставлена по IP-адресу, то для получения доступа к внешней сети
необязательно вводить логин и пароль пользователя. Однако, зайдя в web-интерфейс, используя
эту связку можно попасть в т.н. Кабинет пользователя
Рис.37. Кабинет пользователя
При этом доступен просмотр общей информации, статистики, тарифа и возможность смены
пароля.
Наибольший интерес представляет раздел Статистики. В нём представлена информация о
работе в сети пользователя. Например, объем входящих и исходящих данных,
соответствующую тарифу стоимость, посещаемые ресурсы. Можно также выводить статистику
для определенного временного периода.
22
Рис.38. Статистика пользователя
Как можно видеть, после превышения порога в загрузке 1Мб стоимость возросла до 3 ед. На
практике же заметим также и падение скорости. Эти ограничения были записаны в правила и
были применены для этого пользователя.
При запросе страницы запрещенного сайта появится окно, уведомляющее об этом запрете.
Рис.39. Попытка зайти на запрещенный сайт
23